联发科技发布了最新的产品安全公告,解决了一个可能导致未经授权访问和控制用户设备的高严重性漏洞。该漏洞被识别为 CVE-2024-20125,允许攻击者利用多个联发科芯片组的视频解码器 (vdec) 组件中缺失的边界检查。
这个越界写入漏洞可能会导致本地权限升级,潜在地授予攻击者系统执行权限。该漏洞影响智能手机、平板电脑和其他设备中使用的多种联发科芯片组,包括MT6580、MT6761、MT6765等。
联发科已发布补丁解决该漏洞,并在公开披露前至少两个月通知了设备制造商(OEM)。我们强烈呼吁用户在设备制造商提供最新安全更新后立即更新设备。
除高严重性漏洞外,该公告还涉及几个中等严重性漏洞,包括电话和其他组件中的越界读取、堆栈溢出、未捕获异常和可达断言。这些漏洞可能导致拒绝服务、信息泄露和其他安全风险。
这些漏洞涉及多种联发科芯片组,包括但不限于:
采用 MT6761、MT6781 和 MT6985 芯片组的智能手机和平板电脑。
采用 MT8195 和 MT8390 的智能显示器和 OTT 设备。
采用 MT7925 和 MT8518S 的物联网设备。
联发科鼓励用户在设备制造商网站或设备设置中查看最新的软件更新。
文章原文链接:https://www.anquanke.com/post/id/302342